Parola Windows 10 poate fi furată cu ajutorul temelor de interfață

Autor: Aurelian Mihai 12.09.2020
Parola Windows 10 poate fi furată cu ajutorul temelor de interfață

Foarte ușor de găsit pe internet, temele de interfață pentru Windows 10 pot fi de un real ajutor pentru împrospătarea interfeței Windows. Din păcate, fișierele cu extensie specială pot fi manipulate pentru a fura parola Windows, deschizând calea pentru alte atacuri și mai sofisticate.

Microsoft permite utilizatorilor să-și creeze propriile teme de interfață pentru Windows 10, un singur fișier executabil putând aplica sunete de sistem, imagini de fundal, un design modificat pentru cursor și schemă personalizată de culori.

Centralizate pe site-uri specializate, temele Windows pot fi descărcate cu doar câteva click-uri, oferind diversitatea mult râvnită de utilizatori. Teoretic, extensia .theme special creată de Microsoft ca și container pentru teme de interfață Windows nu ar trebui să permită modificarea și altor aspecte ale sistemului de operare. Țintă pentru hackeri, formatul de fișier a fost în cele din urmă „spart”, făcând posibilă folosirea acestor fișiere pentru interceptarea parolei Windows.

Temele de interfață pot fi folosite pentru a fura parola Windows

Demonstrată de un expert în securitate pe nume Jimmy Bayne, vulnerabilitatea de tip Pass-the-Hash  constă în modificarea temei de interfață, astfel încât la activarea fișierului sistemul de operare va încerca să acceseze o resursă aflată la distanță, cum ar fi pe un alt computer aflat la o adresă cunoscută de atacator. În tentativa de conectare, Windows va folosi numele de utilizator și semnătura parolei acestuia  (hash-ul NTLDM), în efect, trimițând atacatorului combinația de user și parolă necesară pentru accesarea PC-ului. Nu tocmai sigur, algoritmul criptografic folosit pentru securizarea parolei poate fi spart în câteva secunde, fără nevoia unui PC cu performanțe deosebite.

Aparent, greșeala Microsoft a fost că nu a restricționat accesarea fișierelor exclusiv la adrese locale, această scăpare fiind exploatată acum în scopul extragerii datelor de login. Iar dacă aceeași combinație de nume și parolă este folosită și pentru accesarea contului Microsoft, serviciile atașate acestuia sunt și ele vulnerabile, atacatorul putând obține acces la contul email și o mulțime de alte servicii care folosesc sincronizare Microsoft.

Până la furnizarea unui remediu permanent din partea Microsoft, utilizatorii avansați pot bloca acest tip de atac setând o nouă regulă la secțiunea Group Policy, numită ‘Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers’. Aceasta trebuie să aibă valoarea ‘Deny All’ pentru a împiedica trimiterea credențialelor NTLM către alte PC-uri accesate în rețea.